Irska, EU, 28. travanj. 2025.
Ovaj slučaj ističe izazove obrade osobnih podataka na poslovnim (službenim) uređajima. Slučaj pruža određenu utjehu poslodavcima, poput HSE-a, koji su imali jasnu politiku koja je propisivala da, bez izričitog dopuštenja i mimo internih procedura, bez pristanaka ili sličnih komplikacija, korištenje telefona izvan posla nije dopušteno. To je bilo ključno za ovaj slučaj!
Okolnosti slučaja
HSE je doživio hakerski napad. Jedan od zaposlenika smatrao je kako mu je HSE nanio štetu jer su se na službenom uređaju nalazili i njegovi osobni podaci.
Zaposlenik je tražio zaštitu i pred nadzornim tijelom.
Podnositelj zahtjeva (zaposlenik) tvrdio je da je njegov poslovni telefon hakiran kao rezultat napada ransomwareom na računala i tehničke uređaje HSE-a 2021. godine. Podnositelj zahtjeva pohranio je dvije vrste podataka na svom telefonu koji mu je osigurao HSE, i to „osobne podatke povezane s poslom“ koji su prikupljani i pohranjeni tijekom i u svrhu njegovih poslovnih aktivnosti i „osobne podatke koji nisu povezani s poslom“, što se odnosi na podatke koji su prikupljani i pohranjeni na poslovnom telefonu kada je podnositelj zahtjeva koristio svoj poslovni telefon za osobne svrhe.
Kako je došlo do hakerskog napada na osobni račun e-pošte i osobni račun za kriptovalutu podnositelja zahtjeva, zaposlenik je tvrdio da je pretrpio financijski gubitak od 1400 eura te isti potraživao od HSE.
Nadalje, kako je podnositelj zahtjeva podnio pritužbu irskom povjereniku za zaštitu podataka (DPC) 15. prosinca 2021. u vezi s povredom podataka dana 23. svibnja 2022. DPC je odlučio da HSE nije „voditelj obrade“ kako je definirano u članku 4 (7) Opće uredbe o zaštiti podataka (GDPR) jer HSE nije ovlastio niti dopustio podnositelju zahtjeva da koristi svoj poslovni telefon za osobnu upotrebu te mimo propisanih internih pravila.
Interni akti ˝spasili su˝ voditelja obrade.
Podnositelj zahtjeva nije odustajao.
Između ostalog, i dalje je tvrdio koristivši svoje pravne mogućnosti, da njegovi „poslovni“ osobni podaci na njegovom poslovnom telefonu predstavljaju podatke koji ga mogu identificirati kao pojedinca, te da, prema smjernicama DPC-a, to znači da je HSE voditelj obrade u smislu GDPR.a.
HSE je tvrdio da…
Podnositelj zahtjeva nije smio koristiti svoj poslovni telefon za osobnu upotrebu i da to nije učinio, podaci koji nisu povezani s poslom ne bi bili na telefonu.
HSE se pozvao na svoju Politiku prihvatljive upotrebe ICT-a koja je propisivala da, bez izričitog dogovora i dozvole, korištenje telefona u osobne/ privatne svrhe nije dopušteno).
Pritužba koju je podnio podnositelj zahtjeva u potpunosti se odnosila na osobne podatke koji nisu povezani s poslom. Ispitanik, od DPC-a nije zatraženo da se izjasni je li HSE voditelj obrade u odnosu na „poslovne osobne podatke“ podnositelja zahtjeva (kako ih je on sam nazvao).
Tek kada je podnositelj zahtjeva pokušao uložiti žalbu na odluku DPC-a pismom od 27. svibnja 2022., pokrenuo je pitanje osobnih podataka povezanih s poslom na svom poslovnom telefonu (ispitanik je mijenjao namjeru i sam meritum zahtjeva kao i pitanja prema nadležnom tijelu tijekom postupka).
Budući da HSE nije utvrdio svrhu ili sredstva obrade podataka koji nisu povezani s poslom, stoga nije voditelj obrade (po njihovim (HSE) tvrdnjama).
Zaključak
Zahtjev ispitanika je odbijen i na temelju slaganja Visokog suda da je odluka DPC-a da HSE nije voditelj obrade podataka ispravna.
Pitanje može li se HSE smatrati voditeljem obrade osobnih podataka povezanih s poslom na telefonu nije bilo sporno niti relevantno za postupak.
Odluka Visokog suda ovisila je o konkretnoj pritužbi koju je podnositelj zahtjeva podnio DPC-u, naime da su osobni podaci podnositelja zahtjeva koji nisu povezani s poslom bili predmet kršenja podataka, za koje HSE nikada nije ovlastio podnositelja zahtjeva da ih pohranjuje na svom telefonu niti je podnositelj zahtjeva to smio učiniti.
Ovaj slučaj naglašava važnost jasne politike u vezi s službenim uređajima i njihovom upotrebom od strane zaposlenika. Provjerite na koji način ste uredili korištenje službene opreme, revidirajte politike i nemojte misliti da bi vam site predstavljale problem. Upravo ovo je pokazatelj da vas i politike mogu spasiti samo ako ste pazili kako ih pišete, kako se provode i strateški ste pristupili prilikom njihovog pisanja.
Javite se #uvijekprijenadzora
